The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

В рекламных сетях выявлено вредоносное ПО, скрытое в графических баннерах

07.12.2016 09:22

Исследователи из компаний ESET и Malwarebytes выявили вредоносное ПО, с сентября незаметно атаковавшее системы пользователей, распространяясь через рекламные блоки на популярных сайтах. Особенностью вредоносного ПО, получившего название Stegano, стало то, что используемый для атаки код был интегрирован в PNG-изображения при помощи методов стеганографии.

Вредоносная реклама, на которой предлагались продукты "Browser Defence" и "Broxu", была зафиксирована на многих крупных сайтах, в том числе Yahoo Mail, MSN и нескольких новостных изданиях с аудиторией более миллиона пользователей в день. Из рекламных сетей, в которых был замечен вредоносный баннер, отмечаются SmartyAds и Yahoo Ad Network. Вредоносные баннеры в основном показывались пользователям из Канады, Великобритании, Австралии, Испании и Италии.

При помощи специальной формулы вредоносный JavaScript-код был преобразован в набор пикселей, который накладывался на имеющееся в PNG-файле изображение с корректировкой для наложенных пикселей уровня прозрачности, делающей изменения незаметными, но позволяющей при желании восстановить добавленный набор данных. В рекламные сети добавлялась PNG-картинка с сопутствующим JavaScript-кодом для формирования баннера (многие рекламные сети перешли на HTML5-баннеры и допускают выполнение JavaScript-кода, качество проверки которого оставляет желать лучшего). На первый взгляд код выглядел безобидно, но на деле в процессе обработки баннера восстанавливал спрятанный в него вредоносный JavaScript-блок и передавал ему управление.

Примеры картинок с вредоносными вставками:

После активации вредоносный код инициировал отправку браузером пользователя запроса на специально подготовленный проверочный сервер, контролируемый злоумышленниками, который на основании имеющихся данных принимал решение о целесообразности продолжения атаки. При поступлении запроса от Internet Explorer выполнялась специальная проверка, использующая уязвимость в браузере (CVE-2016-0162) для подтверждения, что запрос поступил из системы реального пользователя, а не симулирован анализаторами трафика.

Также осуществлялась попытка определения установки на системе пользователя антивирусного ПО, запуска браузера в контейнерах или системах виртуализации, применения анализаторов сетевых пакетов, в случае выявления которых соединение обрывалось. Если запрос не вызывал подозрений и были выявлены признаки наличия уязвимого ПО, пользователь перенаправлялся на финальный этап атаки, в ходе которого загружался набор эксплоитов, пытающихся получить управление над системой при помощи эксплуатации распространённых уязвимостей в Adobe Flash. После успешной атаки в систему пользователя внедрялся вредоносный код, способный перехватывать пароли, журналировать нажатие клавиш, создавать скриншоты, скрыто записывать видео через web-камеру и предоставлять скрытый доступ к системе.



  1. Главная ссылка к новости (http://www.welivesecurity.com/...)
  2. OpenNews: В реализации WebGL из состава Firefox 4 найдена уязвимость
  3. OpenNews: В Firefox 5 будет отключена поддержка междоменных текстур WebGL
  4. OpenNews: Потенциальная уязвимость в технологии CSS Shaders
  5. OpenNews: Стеганографический веб-сервис DarkJPEG
  6. Предупреждение о появлении вредоносного кода в Google AdSensе
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/45631-malware
Ключевые слова: malware
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение (85) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.2, Аноним (-), 09:39, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +51 +/
    Ну вот, теперь AdBlock перестанут пытаться прикрыть. Теперь это не блокировщик рекламы, а антивирус!
     
     
  • 2.46, prokoudine (ok), 16:57, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > Ну вот, теперь AdBlock перестанут пытаться прикрыть.

    Там уже фракталы.

    https://twitter.com/etargetru/status/715545033634611200

     

  • 1.3, botman (ok), 09:43, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Стенография и стеганография - разные вещи. На картинке написано про стеганографию.
     
     
  • 2.26, Гостище (?), 11:47, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А кто спорит-то?
    Там обычная стеганография, знакомая людям уже несколько тысячелетий.
     

  • 1.4, Аноним (-), 09:43, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Internet Expolrer - всё понятно
     
     
  • 2.52, soarin (ok), 19:16, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    К сведению: Описанная уязвимость в нём залатана в апреле 2016 года.
     
     
  • 3.84, Аноним (-), 16:56, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Еще скажи главное когда в Adobe Trash все дыры залатают.
     
  • 2.75, Аноним (-), 12:40, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > через уязвимость в Flash

    А это непонятно? ;)

     

  • 1.6, Аноним (-), 09:44, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +13 +/
    И еще нам расскаывают как бедные рекламодатели не могут выжить и заработать себе на кусок хлеба, так как пользователи не хотят смотреть рекламу.
     
     
  • 2.13, J.L. (?), 10:19, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    > И еще нам расскаывают как бедные рекламодатели не могут выжить и заработать
    > себе на кусок хлеба, так как пользователи не хотят смотреть рекламу.

    вот они и вынуждены зарабатывать себе на кусочек масла с помощью продажи ботсетей

     

  • 1.7, Семилетов (ok), 09:46, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –3 +/
    Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускается в ВМ. Сама ВМ работает из под отдельного пользователя. Мне есть чего бояться?
     
     
  • 2.8, Аноним (-), 09:55, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +13 +/
    нанороботов
     
  • 2.11, Аноним (-), 10:03, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +16 +/
    да, паранойи =)
     
  • 2.14, J.L. (?), 10:23, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускается в
    > ВМ. Сама ВМ работает из под отдельного пользователя. Мне есть чего
    > бояться?

    тор (и распоследний фокс в его основе) недавно ломали
    в виртуалках тоже дырки закрываются
    у вас хотяб система с браузером стартует с ридонлиснапшота (кроме профайла браузера там..) ?

     
     
  • 3.27, Гостище (?), 11:50, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Ага. Лично я, из тара распаковываю профиль в tmpfs
     
  • 2.15, Аноним (-), 10:23, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Поставьте лучше uBlock Origin, uMatrix. Stylish еще когда-то помогал с ненужными CSS справляться.
     
     
  • 3.25, PnDx (ok), 11:12, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    uBlock Origin 1.10 + списки для РФ + вынос социалок + последний firefox = вытекание в 16 ГБ за сутки и "oom summoning", внезапно.
    Возможно, "стреляет" в сочетании с каким-нибудь firebug etc., но мне от этого не легче. Пришлось вернуть adblock, благо они анти-adblock наконец озаботились.
     
     
  • 4.29, Гостище (?), 11:56, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    firefox-esr --profile /tmp/username/.firefox --new-instance
    Запущено с 9 ноября, не утекло.
    Расширения: Policeman + uBlock Origin
     
  • 4.85, Аноним (-), 16:58, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Палишься, рекламщик. Потому что я недавно видел лиса с uBlock + uMatrix запущенного месяц. На обычном десктопе с 4 гиг. Хотя если верить тебе, ему и сервака с 128 гиг должно быть мало. По-моему кто-то врет. Или говорит не всю правду.
     
     
  • 5.96, J.L. (?), 12:59, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Палишься, рекламщик. Потому что я недавно видел лиса с uBlock + uMatrix
    > запущенного месяц. На обычном десктопе с 4 гиг. Хотя если верить
    > тебе, ему и сервака с 128 гиг должно быть мало. По-моему
    > кто-то врет. Или говорит не всю правду.

    у меня тоже долго запущено и не течёт, но буквально месяц назад "что-то произошло" и за неделю фокс утёк на 12 гигов, ещё и текущую сессию табов побил (после рестарта выяснилось)
    так что возможны сочетания факторов которые делают упс и на постоянку, только об этом багрепорты писать фоксу надо а не на опеннете ныть

     
  • 2.16, Аноним (-), 10:25, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • –3 +/
    Этот ваш адблок не режет рекламу, а скрывает, то есть от эксплуатации уязвимостей не спасёт. Лучший адблок - это резать адреса на роутере.
     
     
  • 3.20, лютый жабист___ (?), 10:34, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот ваш адблок не режет рекламу, а скрывает, то есть от эксплуатации уязвимостей не спасёт.

    Если скрывает, то как ОНИ определяют, что он есть?


     
     
  • 4.97, Lain_13 (ok), 17:38, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Срабатывание на популярные фильтры скрытия это второй по популярности способ определения адблока. Первый — блокировка скрипта с именем, попадающим под общие правила блокировки.
     
  • 3.21, Аноним (-), 10:34, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +6 +/
    > Этот ваш адблок не режет рекламу, а скрывает

    Ложь. Смотрите Network Log в лисе, снифайте трафик.

     
     
  • 4.37, Аноним (-), 13:31, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    uBlock Origin режет не все, некоторую рекламу он просто скрывает.
     
     
  • 5.48, Аноним (-), 17:26, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Как и остальные блокеры, в общем-то. Есть 2 типа фильтров - сетевые и косметические, первые блокируют, вторые скрывают.
     
  • 5.72, DmA (??), 10:16, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Лучше в uMatrix заблокировать весь трафик с любых сторонних  сайтов и не беспокоится скрывает адблок или юблок рекламу или просто режет...
    uMatrix уже проверен анализаторами трафика... Никаких лишних даже днс запросов не происходит к этим рекламным и прочим трекерам.
     
  • 5.86, Аноним (-), 17:00, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > uBlock Origin режет не все, некоторую рекламу он просто скрывает.

    "Некоторая реклама" интегрирована в контент.

    Например, если я напишу к коменте "покупайте телефоны^W галоши Нокия!" - это сообщение не скачивается как отдельный URL и его не получится заблокировать на уровне URL или хоста. Но его можно скрыть проанализировав структуру документа.

     
  • 3.53, Аноним (-), 21:48, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    пользователь Хрома проецирует его проблемы на другие браузеры?
     
  • 3.95, J.L. (?), 12:55, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Этот ваш адблок не режет рекламу, а скрывает, то есть от эксплуатации
    > уязвимостей не спасёт. Лучший адблок - это резать адреса на роутере.

    имхо вы путаете фоксовские эдьоки и хромовские - у хрома вроде бы нельзя было не грузить, можно было только скрывать после (как минимум раньше так было, как сейчас - не знаю)

     
  • 2.19, лютый жабист___ (?), 10:33, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +3 +/
    >Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускается в ВМ. Сама >ВМ работает из под отдельного пользователя. Мне есть чего бояться?

    Для начала винду убрать.

     
     
  • 3.62, Аноним (-), 22:35, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Для начала винду убрать.

    Да, винда вызывает гемофтальм у некоторых. И другие нарушения.


     
     
  • 4.77, Аноним (-), 12:44, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    После долгого использования ОС Windows у пациентов наблюдался амавроз и геморрой.
     
  • 2.30, КО (?), 12:10, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если в этом браузере вы введете данные своей кредитки, то все ранее перечисленное было сделано зря. :)

    Ну и до кучи, надо было бы еще защитить маршрутизатор от атак из браузера, а то поди осталась в нем закладка от производителя, позволяющая браузеру зайти в админку...

     
  • 2.76, Аноним (-), 12:41, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Установлены adblock и noscript, есть антивирус и нет a-flash, браузер запускается в
    > ВМ. Сама ВМ работает из под отдельного пользователя. Мне есть чего
    > бояться?

    Выходи на новый уровень! В интернет только с чужих машин, из другого города.

     
     
  • 3.88, Аноним (-), 17:03, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Выходи на новый уровень! В интернет только с чужих машин, из другого города.

    Это реклама услуг ботнетов? Безобразие, куда адблокеры смотрят.

     
     
  • 4.98, Аноним (-), 19:20, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Это GNU/реклама GNU/дядюшки Столлмана.
     
  • 2.100, forsaken (?), 19:29, 13/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Бойся антивируса, который у тебя установлен. Антивирус - потенциальная дыра в безопасности
     

  • 1.12, Аноним (-), 10:13, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    Ну т.е. когда мне говорят, что AdBlock - это воровство денег, это нормально, а что это защита от такого вот треша - это побоку?
     
     
  • 2.17, Аноним (-), 10:26, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Забавно, автоюристы обворовывают страховщиков, адблокеры - рекламодателей, когда за не покупку яфонов уже закрывать начнут?
     
     
  • 3.63, Аноним (-), 22:36, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    А за непокупку ведрофонов как будут карать?


     
     
  • 4.73, Харитон (?), 11:11, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    двойной покупкой мастдайфонов
     
     
  • 5.78, Аноним (-), 12:45, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > двойной покупкой мастдайфонов

    А если я уже купил обычную звонилку, за мной уже выехали? :(

     
  • 2.54, Аноним (-), 21:50, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вам никогда не доводилось слышать о готтентотской этике?
     

  • 1.22, Аноним (-), 10:42, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Похоже вири уже значительно расширили целевые системы:
    https://www.opennet.ru/openforum/vsluhforumID15/4338.html#5
     
  • 1.23, DmA (??), 10:54, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    По российскому законодательству можно на них в суд подать за распространение зловредных программ, до 7 лет тюрьмы могут впаять!
    Заодно рекламным компаниям считай каюк будет на территории России. Следом рухнут поисковые системы, так как их содержат как раз рекламные компании типа Яндекс, Гугл итд
    Интересно как будет выглядеть Интернет без поисковых систем? Снова будут каталоги сайтов делать как на заре Интернета?(типа Yahoo)?
     
     
  • 2.24, Аноним (-), 11:02, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >Интересно как будет выглядеть Интернет без поисковых систем?

    Никак. За прошедшие годы интернет так разросся, что без индексации он разом превращается в кванмён.

     
     
  • 3.42, Аноним (-), 14:40, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    клоун Интернет делят на белый, чёрный и серый в зависимости от возможности поис... большой текст свёрнут, показать
     
     
  • 4.79, Аноним (-), 12:48, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • –1 +/
    50 оттенков серого? :)

    > Но в связи со сбором и торговлей личными данными, а также реальных наказаний за виртуальное содержимое, уход в серую зону с годами становится всё более привлекательным.

    Скорее уж в чёрную. В серой тоже следят же.

     
     
  • 5.101, Урри (?), 15:25, 14/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Серый - не индексируется, но доступен по ссылкам. Напр. страница сайта, на которую не ведёт ни одна ссылка и открыть которую можно только зная её адрес. Или сайт, который не индексируется из-за явно прописанных ограничений в файле robots.txt.

    Бу-га-га. Верьте в честность поисковиков.

     
  • 2.31, Аноним (-), 12:24, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >>в суд подать за распространение зловредных программ

    на Microsoft за Windows 10 тоже можно подать, толку то?

     
     
  • 3.64, Аноним (-), 22:39, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > на Microsoft за Windows 10 тоже можно подать, толку то?

    Какие у вас к ним судебные претензии?


     
     
  • 4.74, Харитон (?), 11:14, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    >> на Microsoft за Windows 10 тоже можно подать, толку то?
    > Какие у вас к ним судебные претензии?

    Агрегация персональных данных? Нет?
    Но подать в суд тяжело - так как подразумевается, если ты пользуешь сей продукт, то поддержал лицензию. А там все описано, что вы согласня с тем, что МС будет эти данные складывать у себя...

     
  • 2.43, Аноним (-), 14:53, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Будут продолжать продавать текстовые банеры и позицию в поиске.
     
  • 2.55, Аноним (-), 21:52, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    подать в суд-то можно, только вот на юристах разоришься, эти компании зарегистрированы отнюдь не у нас
     
  • 2.71, анон (?), 06:03, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Вы имеете ввиду намеренное распространение зловредных программ? Тогда вам всего лишь нужно доказать в суде что они заранее знали о зловредах в баннерах
     

  • 1.28, Аноним (-), 11:51, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    И эти маркетолухи еще огрызаются, не хотите жрать нашу рехламу, уууууу....
     
     
  • 2.36, Аноним1921 (?), 13:31, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • –4 +/
    В Южном Парке 19 сезон, трилогия про рекламу ) Там хорошо сказано на этот счет. Всем рекомендую.
     
     
  • 3.51, Нимус (?), 18:23, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Уроки все уже выучил, домашку сделал?
     
     
  • 4.59, Аноним (-), 22:01, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Южный Парк - 16+
     
  • 4.80, Аноним (-), 12:49, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Уроки все уже выучил, домашку сделал?

    А почему ви таки спрашиваете?

     
     
  • 5.89, HIMEM.SYS (?), 19:51, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Видать хочет списать XD
     
  • 2.56, Аноним (-), 21:54, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    они правильно огрызаются, так как монетизировать иначе их деятельность не получается в рамках существующей системы и положения вещей
     

  • 1.32, Аноним (-), 12:39, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Никогда такого не было и вот опять...
     
  • 1.33, trdm (ok), 12:42, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +2 +/
    > и скрыто записывать видео через web-камеру.

    Давно на свою камеру носок повесил. Жаль что она запахи не транслирует...

     
     
  • 2.65, Аноним (-), 22:43, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Давно на свою камеру носок повесил. Жаль что она запахи не транслирует...

    Вот это действительно в духе Столлмана. Только всем шпионам, которые пытаются заглянуть в вашу камеру нужно как-то объяснить, что это ваш грязный носок. Так то сами они не поймут и протестного профита будет 0.


     
     
  • 3.91, Аноним (-), 04:30, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > в вашу камеру нужно как-то объяснить, что это ваш грязный носок.
    > Так то сами они не поймут и протестного профита будет 0.

    А чтобы был профит - можно подсунуть гамнюкам фэйковую камеру. Пусть смотрят, главное покреативнее придумать что и откуда транслировать.

     

  • 1.34, Fantomas (??), 13:07, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    А как можно определить применения анализаторов сетевых пакетов?
     
     
  • 2.38, Аноним (-), 13:49, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Можно по-разному. Как и применение ножей. Но судью будет интересовать не определение применения, а умысел.
     
     
  • 3.40, Fantomas (??), 13:57, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Захотелось вцепиться зубами и пососать еще теплой крови.
    ))))))))))))))))
     
     
  • 4.81, Аноним (-), 12:50, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > Захотелось вцепиться зубами и пососать еще теплой крови.

    С учётом твоего ника, ничего странного в этом нет.

     

  • 1.39, Fantomas (??), 13:56, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Немного не так спросил.
    Как управляющий сервер определит, что я запустил анализаторов сетевых пакетов?
    Например неразборчивый режим сетевухи, но если виндяка на виртуалке, а анализатор на хост машине?
     
     
  • 2.66, Ordu (ok), 00:02, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    Если виндяка на виртуалке, а анализатор на хост машине, то, видимо, должна отработать проверка на виртуалку, и если она отловит факт виртуалки, то оборвёт атаку, и проверка на наличие анализаторов сетевых пакетов уже не понадобится. Ну, а если первая проверка даст false negative, то и вторая, вероятно, тоже.

    Есть способы проверить сетевушку на неразборчивый режим снаружи, ну или были такие способы раньше, когда железо было тормознее. Но для этого надо было находиться в той же локалке. Работают ли эти способы сейчас -- сложно сказать, потому что эти способы невостребованы: сегодня ethernet-hub выглядит моветоном, все переключились на ethernet-switch'и, и даже на самые натуральные роутеры, которые не на втором уровне OSI функционируют, а на 3-4; сегодня уже нет нужды вылавливать негодяев в локалке, которые перехватывают весь трафик, чтобы выуживать из него всякие интересности. И да, во всяком случае это не имеет отношения к данному эксплоиту.

     
     
  • 3.92, Аноним (-), 04:36, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > нет нужды вылавливать негодяев в локалке, которые перехватывают весь трафик, чтобы
    > выуживать из него всякие интересности.

    Правильно. Негодяи теперь стали использовать ARP-пойзонинг и перехватывают не весь трафф а только трафф интересующих личностей. Хотя... хотя появилась вафля. И там как ты понимаешь среда общая на всю толпу. Поэтому атакующему достаточно узнать ключ сети. Если сеть вообще шифрованная.

     

  • 1.44, Аноним (-), 15:22, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    если у сайта есть возможность распространять ПО - это ошибка или в браузере, или в HTTP
     
     
  • 2.57, Аноним (-), 21:56, 07/12/2016 [^] [^^] [^^^] [ответить]  
  • +2 +/
    defective by design
     
  • 2.93, Аноним (-), 04:39, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > если у сайта есть возможность распространять ПО - это ошибка или в
    > браузере, или в HTTP

    У браузеров возможность выполнять JS есть с незапамятных времен. Но он выполняется в очень ограниченном VM. Который сам по себе ничего инсталлировать ессно не может. Но поскольку в браузерах бывают CVE а еще бывает адоб флеш, где меньше 10 заткнутых remote code execution - вообще не релиз, возможность мелкого наглежа с выполнением кусочка js который не проверили рекламеры превращается в возможность "взять и у...ть!"

     
     
  • 3.99, Аноним (-), 19:22, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    С учётом появления довольно сомнительных стандартов в HTML5 и (S)CSS, скоро и JS не нужен будет.
     

  • 1.58, Аноним (-), 21:59, 07/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Блин, мы в будущем! Когда уже научатся вставлять нам невидимый рекламный код прямо в мозг пока мы не фокусируем зрение в течении саккады?
    Так почитал Опеннет и вдруг необъяснимо засвербило скачать и поставить Альт Линукс.
     
     
  • 2.82, Аноним (-), 12:58, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    http://liberatum.ru/e/altlinux-rose-from-the-grave
     

  • 1.69, Аноним (-), 00:42, 08/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    > многие рекламные сети перешли на HTML5-баннеры и допускают выполнение JavaScript-кода, качество проверки которого оставляет желать лучшего

    Говорили что без Adobe Flash будет лучше, а оказывается HTML5 ещё большая дырень.

     
     
  • 2.70, Ordu (ok), 03:04, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Пока ещё нет. Эта схема использует уязвимый flash-player для распространения зловредов. Но прогресс, конечно, налицо: атака начинается именно с уровня html5.
     
     
  • 3.90, Аноним (-), 23:24, 08/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    слово зловред в отношении неодушевленных предметов, а тем более явлений крайне неуместно, так как они не могут быть злыми, хот могут быть вредными
    то есть они не могут наносить вред со зла
     
     
  • 4.94, Аноним (-), 04:41, 09/12/2016 [^] [^^] [^^^] [ответить]  
  • +/
    > так как они не могут быть злыми, хот могут быть вредными

    Это как сказать. Когда тебе какой-нибудь duq пропатчит фирмварь винча без очевидных возможностей выбить гада - наверное придется констатировать что он злой.

     

  • 1.83, Алекс (??), 16:41, 08/12/2016 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Такого рода картинки я часто встречал на торрент-трекерах, где можно фильмы разные скачать. Правда никогда на них не жал. Особенно картинки где приведен пример 2.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2020 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру